Пластический хирург из США попал под суд за то, что не сказал пациентам, как хакеры украли их обнажённые фото

Группа пациентов пластического хирурга из Беверли-Хиллз, доктора Хайме Шварца, подала коллективный иск. Как выяснилось, он не сообщил им о двух взломах базы данных. В результате этих атак персональная информация пациентов, включая финансовые данные и интимные фотографии, сделанные во время операций, оказалась в руках хакеров и была опубликована в интернете.

Что произошло?

Истцы утверждают, что доктор не только не обеспечил надлежащую защиту данных, но и скрыл информацию о масштабах первого взлома, когда пациенты начали задавать вопросы. По их словам, система безопасности клиники не соответствовала стандартам отрасли, что привело к серьёзным последствиям.

«Несмотря на то, что он берёт с клиентов тысячи долларов за свои услуги, доктор Шварц проигнорировал базовые меры защиты данных, необходимые для предотвращения кибератак», — говорится в иске.

В документах утверждается, что сеть клиники была взломана дважды за менее чем год. Оба раза пациенты узнавали о взломе только тогда, когда находили свои же данные, включая интимные фотографии с видимыми лицами, в интернете.

Первый взлом: октябрь 2023 года

Согласно иску, первый взлом произошёл в октябре 2023 года, когда хакерская группа Hunter International заявила, что получила доступ к данным клиники.

«Хакеры украли 1,1 терабайта данных, состоящих из 248 245 файлов. Публикация на даркнете включала четыре фотографии пациентов, одна из которых была интимной с видимым лицом», — говорится в иске.

Шварц отказался в то время платить выкуп, и через месяц хакеры обновили требования:

«Похоже, вы вообще не хотите защищать свои данные. Прошло уже более 30 дней с момента взлома вашей сети. Вы получили все доказательства, которые просили... Но продолжаете требовать дополнительные подтверждения. Так мы не сможем вести с вами дела. Может, вы сделаете нам одолжение и переведёте половину суммы, чтобы доказать, что можете заплатить за свои данные?»

Примерно через две недели хакеры опубликовали новые интимные фотографии пациентов.

«Если вы нашли свои личные данные здесь, напишите нам, и мы расскажем, как действовать против этого ДОКТОРА!» — гласило последнее сообщение.

Второй взлом: март 2024 года

В иске утверждается, что Шварц не предпринял никаких дополнительных мер безопасности после первого взлома. В марте 2024 года его система была взломана снова, и на этот раз, согласно данным, были скомпрометированы все данные пациентов.

«Доктор Шварц не уведомил своих пациентов в соответствии с федеральными и государственными законами. Он ждал почти 10 месяцев, пока хакеры не создали публичный сайт, рассаакзывающий о взломе, и не начали связываться с пациентами напрямую», — говорится в заявлении.

Только в январе 2025 года Шварц отправил пациентам общее сообщение о втором взломе. В нём он написал, что «неуполномоченная третья сторона использовала учётные данные стороннего поставщика для доступа к системе медицинского биллинга и управления медицинской практикой... Было установлено, что часть вашей личной информации присутствовала в затронутом наборе данных. Мы немедленно приняли меры для уведомления вас о происшествии».

Проблемы с безопасностью

Несмотря на обещания полного обновления системы безопасности, в иске утверждается, что Шварц не обеспечил должную защиту сетевых устройств, не обучил сотрудников распознаванию фишинговых писем и не проверил надёжность сторонних поставщиков, имеющих доступ к конфиденциальным данным пациентов. Также отмечается, что в системе отсутствовали соответствующие антивирусные программы и брандмауэры.

Последствия для пациентов

На момент подачи иска хакеры опубликовали около 30 файлов пациентов и предупредили, что будут продолжать публиковать их в алфавитном порядке, пока Шварц не свяжется с ними для решения проблемы.

Пациенты требуют компенсацию в размере до $3000 за каждое фото на одного человека, что может составить более $5 млн. Они также настаивают на судебном разбирательстве с участием присяжных.

Почему хакеры выбирают пластических хирургов?

Пластические хирурги становятся популярной мишенью для хакеров из-за типа данных, которые они хранят. Файлы пациентов включают не только медицинскую и финансовую информацию, но и фотографии, многие из которых делаются в обнажённом виде. Эти данные особенно ценны для продажи на даркнете или использования для шантажа.

В октябре 2023 года ФБР выпустило предупреждение о том, что хакеры целенаправленно атакуют пластических хирургов. Злоумышленники используют фишинговые атаки для получения доступа к базам данных пациентов, а затем находят профили в социальных сетях для шантажа.

Что дальше?

Офис Шварца не отвечает на запросы журналистов. Однако этот случай подчёркивает важность усиления мер кибербезопасности в медицинской сфере, особенно для специалистов, работающих с чувствительными данными пациентов.

Скандал вокруг доктора стал ещё одним напоминанием о том, что защита персональных данных должна быть приоритетом для всех организаций, работающих с конфиденциальной информацией. Иначе последствия могут быть катастрофическими — как для пациентов, так и для репутации врачей.

Ещё по теме:

• Российские банки осваивают новый инструмент для анализа криптовалют
• В сети появился первый бенчмарк iPhone 16e
• В Google разработали систему слежения, не зависящую от VPN и Tor